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摘 要 : 可 链接 环 签名 可 防止 区 块 链 中 的 双 花 攻击 ， 基 于 格 的 签名 可 抵抗 量子 攻击 ， 但 已 有 格 基 可 链接 环 签 名 的 大 
小 随 环 成 员 的 增多 而 增 大 。 针 对 该 问题 ， 提 出 了 一 种 格 上 的 简短 可 链接 环 签 名 方案 。 该 方案 用 队列 实现 了 向 量 数 制 
的 特殊 转换 ， 利 用 格 上 的 累加 器 对 环 成 员 的 公 钥 进行 孙 加 ， 使 得 签名 大 小 不 会 随 环 成 员 的 增多 而 增 大 ; 利用 拒绝 采 
样 定理 ， 构 造 出 格 上 的 知识 证 明 签 名 ， 在 防止 签名 私 钥 汇 露 的 同时 ， 提 高 了 计算 效率 。 在 随机 预言 机 模型 下 ， 证 明 
了 方案 具有 不 可 伪造 性 、 匿 名 性 、 可 链接 性 。 性 能 分 析 与 实验 评估 表明 ， 本 方案 节省 了 时 间 开 销 和 存储 开销 ， 且 随 
着 环 成 员 的 增多 签名 大 小 固定 不 变 。 

关键 词 : 格 ; 知识 证 明 签 名 ; 累加 器 ; 简短 可 链接 环 签名 
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Lattice-based short linkable ring signatures 
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Mathematics & Statistics, Henan University of Science & Technology, Luoyang Henan 471023, China; 3. School of Intelligent 
Engineering, Zhengzhou University of Aeronautics, Zhengzhou 450003, China) 


Abstract: Linkable ring signatures could avoid double-spending attacks in the blockchain. Lattice-based signatures were 
quantum-resistant. However, as the number of ring members increased, the size of existing lattice-based linkable ring 
signatures increased. To solve this problem, a lattice-based linkable ring signatures scheme was proposed. This scheme used 
queues to implement a special conversion of vector number system, and used lattice-based accumulators to accumulate the 
public keys of ring members, so that the signature size didn't increase with the number of ring members. And using the 
rejection sampling theorem, this scheme constructed signatures based on proofs of knowledge on lattices, prevented the 
signature private key from leaking, and improved the computational efficiency. In the random oracle model, the scheme was 
proved to be unforgeable, anonymous and linkable. Performance analysis and experimental evaluation show that, this scheme 
saves time and storage, and the signature size is constant with the increase of ring members. 


Key words: lattice; signatures based on proofs of knowledge; accumulators; short linkable ring signatures 


0 ”引言 使 用 累加 器 对 公 钥 环 进行 累加 计算 ， 然 后 再 进行 签名 ， 不 仅 
di 保留 了 可 链接 环 签名 的 一 些 特性 ， 而 且 随 着 环 成 员 的 增多 ， 
区 块 链 岂 具有 去 中 心 化 、 开 放 性 、 不 可 帘 改 性 、 自 治 性 、 单个 签名 的 大 小 保持 不 变 外 。 文 献 [9] 利 用 消息 编码 、Paillier 
匿名 性 等 特点 ， 日 前 越 来 越 受到 业界 的 推 染 。 然 而 区 块 链 技 司 态 加 密 、 简 短 可 链接 环 签名 [9， 提 出 了 一 个 独立 平台 的 安 
术 在 安全 上 还 有 很 多 不 足 ， 如 比特 币 系 统 中 的 匿名 性 是 通过 ”全 的 区 块 链 投票 系统 。 然 而 上 述 这 些 方 案 的 密码 体制 均 基 于 
段 名 实现 的 , 并 不 是 真正 的 匿名 性 争 。 针对 该 问题 , 很 多 学 者 ”传统 数学 难题 ， 随 着 量子 计算 技术 的 发 展 ， 它 们 的 安全 性 在 
提出 改善 区 块 链 系 统 匿 名 性 的 方案 ， 环 签名 馈 便 是 主流 方案 低 。 
之 一 。 在 环 签名 机 制 下 ， 签 名 者 自发 选择 多 个 用 户 组 成 环 ， 基于 格 的 密码 体制 具有 抗 量子 攻击 、 运 算 简单 、 可 并 行 
利用 自己 的 公私 钥 对 及 环 成 员 的 公 钥 对 消息 进行 签名 ， 验 证 化 、 抗 量子 攻击 、 存 在 最 坏 情况 下 的 随机 实例 和 较 好 的 渐进 
者 只 知道 签名 出 自 环 中 某 一 个 成 员 ， 但 不 能 确定 签名 者 真实 效率 等 优点 ， 因 而 成 为 后 量子 时 代 的 研究 热点 009。 文 献 [11] 
je 至 
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身份 由 。 出 了 基于 格 的 一 次 性 可 链接 环 签名 L2RS, 并 将 其 应 用 

对 于 区 块 链 电子 货币 系统 的 双 花 攻击 与 区 块 链 电 子 选 举 块 链 上 的 环 可 信 交 易 (Lattice RingCT v1.0); 在 此 基础 上 ， 
系统 的 重复 投票 问题 ， 可 链接 环 签名 辐 的 可 链接 性 确保 签名 ”文献 [12] 构 造 了 了 可 链接 环 签名 MIMO.L2RS, 进一步 提出 升 
者 不 能 重复 签名 ， 能 有 效 解决 区 块 链 的 这 些 问 题 。 文 献 [6] 利 ”级 版 应 用 协议 一 一 Lattice RingCTv2.0， 在 交易 中 支持 多 输入 
用 可 链接 环 签名 设计 了 基于 智能 合约 的 电子 投票 系统 ， 确 保 及 多 输出 电子 钱包 。 文 献 [13] 提 出 了 切合 实际 的 格 基 一 次 性 
了 投票 结果 的 可 信和 度 ， 解 决 了 投票 过 程 中 的 安全 问题 。 但 是 ”可 链接 环 签名 方案 ， 简 单 有 效 ， 实 用 性 强 。 针 对 门 罗 币 的 安 
随 着 环 成 员 的 增多 ， 单 个 可 链接 环 签名 的 大 小 也 在 增 大 。 简 全 问题 ， 文 献 [14] 提 出 了 支持 匿名 地 址 55 的 格 基 可 链接 环 答 
短 可 链接 环 签名 (Short Linkable Ring Signatures, SLRS) H5 名。 文献 [16] 利 用 环 上 容错 学 习 问 题 提 出 了 一 个 可 链接 环 签 
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名 方案 , 密 钥 尺 寸 较 短 , 效率 较 高 。 文 献 [10] 利 用 原 像 抽 样 和 
拒绝 采样 算法 构造 了 一 个 格 上 基于 身份 的 可 链接 环 签名 方案 ， 
提升 了 用 户 密 钥 生成 和 签名 验证 的 效率 。 文 献 [17] 利 用 格 密 
码 、 消 息 块 共享 技术 、 填 充 排列 技术 ， 提 出 一 种 基于 格 的 可 
链接 门限 环 签名 方案 ， 并 将 其 应 用 至 电子 投票 协议 。 然 而 随 
着 环 成 员 个 数 的 增 大 ， 这 些 方案 的 签名 长 度 也 在 增 大 。 
为 解决 上 述 问 题 ， 本 文 提出 格 上 的 简短 可 链接 环 签名 方 
案 ， 主 要 贡献 如 下 : 
a) 鉴 于 队列 先进 先 出 的 特点 0 习 ， 利 用 其 实现 了 向 量 数 秆 
的 特殊 转换 ; 
b) 将 Camenish 和 Stadler 所 提出 的 知识 证 明 签 名 
(Signatures based on Proofs of Knowledge, SPK)09] 推 广 至 格 上 ， 
构造 出 新 的 SPK; 
c) 根 据 文献 [7][8] 定 义 的 简短 可 链接 环 签名 算法 ， 结 合 
上 的 累加 器 P0， 利 用 拒绝 采样 定理 2C0， 构 造 出 格 上 的 简短 可 
链接 环 签名 方案 (Lattice-based Short Linkable Ring Signatures, 
LSLRS)， 随 着 环 成 员 的 增加 ， 签 名 大 小 保持 不 变 ， 同 时 提高 
了 计算 效率 。 


1 ”预备 知识 


1.1 基础 符号 
对 于 be{0,1} ,用 5 表示 1-be{0,1}, 4B A eze JI B ez 
的 拼接 表示 为 [41B]JeZ**)? ， 用 xc 8 表示 从 有 限 集 S 中 均 
匀 随 机 选择 x, H xD 表示 按照 分 布 D 选择 x。 对 于 正 整 
数 nq,k,m，n 为 安全 参数 ，g=0(m),k=[logq1, m=2nk > X FE 
124.2 
pE c- ba ET em, HE yS 
124 2k 
7H v -G-bin(v) , 3X E bin(v) e(0,1y* 为 向 量 v 的 二 进 制 表示 。 
1.2 格 上 的 困难 问题 
定义 1 SIVPy 问 题 。 给 定 秩 为 n 的 格 L=LB)， 找 n 线 
性 无 关 的 向 量 名 …,v eL ,使 得 对 任意 的 1<i<n，, lvl: 40, 
这 里 y21gRYTDP T. AD 为 格 工 的 逐次 最 小 长 度 。 
定义 2 Saos 问题 RI 中。 给 定 均匀 随机 选择 的 矩阵 
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该 算法 输出 为 累加 值 uo 
3)TWitnessa(R, d): 如 果 deR ， 返 回 上 ; TU d =d; (A 
js[0N-U]， 这 个 7 的 二 进 制 表示 (和 … 力 )， 输 出 证 据 w 被 定 


w=((j e J) Ls sS sue (0,1) x ({0,1}*)! 


XX Hus sors usu 可 以 通过 TAcca(R) 算 法 进行 计算 得 出 。 
4)TVerifya(u, d, w): 将 给 定 的 证 据 w 写成 如 下 形式 : 
Ws s ens m) E{0,1Y x({0,1}™*) 
按 以 下 方式 递归 地 计算 ViVa ViVo e(0,0 : 
y, 2d 


ha Via Wi). Fija =0 
ha (Win Via) Ej =1 

如 果 m=z ， 返 回 1; 否则 返回 0。 

定理 1 假设 SV 问题 是 难 解 的 , 则 格 上 的 累加 器 是 安 
全 的 ， 即 对 于 所 有 的 PPT 敌手 A: 

Pr[pp «- TSetup(n); (R,d* ,w*) «— A( pp): 
d' e RATVerify,, (TAcc,, (R),d" ,w") 21] = negl() 

1.4 知识 证 明 签 名 SPK 

Camenisch 和 Stadler 提出 了 基于 知识 证 明 的 签名 ， 人 简称 
SPKt8191 。 若 证 明 者 想 向 验证 者 证 明 其 知道 离散 对 数 
1G9:y 7 g* modn] 的 知识 ， 并 用 这 个 知识 对 消息 进行 签名 ， 可 
通过 以 下 的 协议 来 实现 : 
证 明 者 : 随机 选取 re rzZ,， 计 算 

fege iele, gerh H Jyp ae aA, 

然后 将 (c, ?) 传 送 给 验证 者 。 

验证 者 : 检验 cil vlle ley ， 若 等 式 成 立 ， 验 证 者 接受 
证 明 者 的 证 明 ;， 否则 拒绝 。 

此 处 称 (c, s) 为 证 明 者 根据 y 关于 g 的 离散 对 数 对 消息 4 
进行 的 知识 证 明 签名 ， 记 为 SPK(Q): y =g* modn)Q) o 
1.5 拒绝 采样 定理 

定理 2 (拒绝 采样 定理 R21) RE V-lvez:v|«T) Jy z” 
的 一 个 子 集 , R 中 某 个 元 素 s=w(7Viogm) , 概率 分 布 请 Y 一 及 ， 


viel Ls -| 


Aeg”, 4x $|— ^ dE E IH] xez 满足 条 件 alos 
A:x -Ümodq, 

WR m, p= polyn) , JF H. a» 80cm , IRA SISZ, uu 问题 至 少 
和 最 坏 情况 下 的 SIVP,(x- 20cm) ) 问 题 一 样 难 解 。 特 别 地 ， 
Zi p=1, q=Õmn),m=2n[logq], SISE: 问题 至 少 和 SIVP6 问题 一 
FEE fg 01, 
1.3 格 上 的 累加 器 

定义 3 P UE Hoy xoy o0 被 定义 为 
7H={H4|lAeZ")， XE ASIA JA], AeA eZ", JE EDGE T FERT 
(1,.4,) € (0,1) x (01) ， 有 

H0, u,) =bin( A; ` Uo +A; : u, mod q) e (0,1)* 

注意 Hí(4,u)-u €» A,:uj- Au, =G-umodq , 
5|38 1 EE SIVPou 问题 是 难 解 的 ， 则 定义 3 中 的 函数 
H 是 抗 碰撞 的 。 

甘于 上 面 定义 的 格 基 哈 希 函数 族 .W ， 构 造 一 个 默 克 尔 
树 ， 具 有 N=2 个 叶子 节点 ，! 为 一 个 正 整 数 ， 下 面 为 格 上 累 
加 器 P9 的 算法 : 

l)TSetup(n): 抽样 4 一 20" ， 输 出 到 =4。 

2)TAcea(R): Rd, €{0,1}*, dya e (0.1) off j e 0. N -1] , 
Govs iE Jg j I — Eg AER, 令 d; uou 。 深 度 为 1=logN 
的 默 克 尔 树 ， 有 N 个 叶子 节点 Woow…t4is， 且 有 如 下 定义 : 

中 在 深度 ie(LsD , ELT BUB) Oreb), WA 
0] 关 被 定义 为 Has, aos Una) ; 
@ 在 深度 0， 根 节点 xsf01“ 被 定义 为 Ha) o 


U, p € 


则 存在 常数 M=00 ,使 得 以 下 两 个 算法 的 输出 分 布 统计 距离 
fp? 以 内 : 
算法 A: 第 一 步 yes 7 ， 然 后 ze 一 2 ， 最 后 以 "雍和 
的 概率 输出 Gv) ; 
算法 F: BF vh, A AD, Aa A Ma 的 概 
率 输出 v). 
进一步 ， 算 法 A 有 输出 的 概率 至 少 为 2 o 
2 ”签名 定义 及 安全 模型 
2.1 签名 定义 
格 上 的 简短 可 链接 环 签 名 方案 包括 以 下 五 个 PPT 算法 : 
DLSetup(n): 输入 安全 参数 n， 输 出 公共 参数 pp， 该 参 
数 对 所 有 用 户 是 公开 的 。 
2)LKgen(pp): 输 入 公共 参数 pp, 输 出 公私 钥 对 (pk,sk) 。 
3)LSignpp(sk, 上 R): 输入 签名 者 的 密 钥 sk， 待 签名 消息 
H» 以 及 环 R=(pko,…, pkn) ， 输出 签名 or(M) ， 签 名 包含 可 链接 标 
Z5 IXE (pk, sk) 为 LKgen(pp) 生 成 的 有 效 的 公私 钥 对 , H. pk eR 。 
4)LVerifypp(z, R, rD): 输入 消息 4 在 环 R 上 的 签名 
U), E ae(0O 是 有 效 的 ， 本 算法 输出 1; 否则 输出 0。 
S)LLink( ox(44),or(1w) ): 输入 签名 Or) ORU), F h=h, 
则 输出 Linked; 否则 输出 Unlinked, 
2.2 安全 模型 
2.2.1 不 可 伪造 性 
不 可 伪造 性 游戏 如 下 : 
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1) 初 始 化 : 系统 运行 LSetup 得 到 公共 参数 ， 并 将 公共 参 
数 发 送 给 敌手 A. 


2) 询 问 阶段 : 敌手 色 可 以 进行 多 项 式 次 访问 随机 预言 机 。 


3) 伪 造 阶段 ， 敌手 a GRO). Xii v RATE. 
敌手 进行 第 j 次 公 钥 询问 , 公 钥 预言 机 O 生成 公私 钥 
对 (pkj,sk)) ， 将 公 钥 加 入 环 中 ， 并 返回 公 钥 Pk ; 

DMFA (j,4,R) 进行 签名 询问 ， 若 (ph,sh) 由 如 生成 
PkjeR ， 则 签名 预言 机 So 输出 与 R) 相对 应 的 签名 
c0 ;否则 输出 上 ; 

ORFA P; 询问 其 对 应 的 私 钥 ， 私 钥 预 言 机 Co 返回 sk ; 

CR) 从 未 被 敌手 询问 过 , ER e 中 的 公 钥 均 为 如 生 
成 ， 且 其 对 应 的 私 钥 均 未 被 询问 过 。 

则 敌手 赢得 不 可 伪造 性 游戏 , 敌手 赢得 游戏 的 优势 定 


n 


A 


Adv5 — Pr[pp 4 LSetup(1"); (ut , RF, 07) «— 7490900 ( pp): 
LVerify (4r ,R',0^)-1] 
定义 4 对 于 任意 多 项 式 时 间 敌 手 A, Adv^, negl) , W 
称 该 简短 可 链接 环 签名 是 不 可 伪造 的 。 
222 匿名 性 
匿名 性 游戏 如 下 : 
1) 初 始 化 :挑战 者 罗 运 行 算法 LSetup 得 到 公共 参数 pp， 
并 且 运 行 算法 LKgen 生成 公私 钥 对 dax) , 将 公 钥 加 入 环 中 ， 
然后 将 环 R=(do,…,dw) 和 公共 参数 pp 发 送 给 敌手 A 。 
2) 询 问 阶段 : 敌手 也 可以 进行 多 项 式 次 访问 预言 机 。 
3) 挑 战 阶段 : 敌手 了 挑选 待 签 消息 uet , DL TES 
^ A dd, eR 进行 签名 询问 ， 挑 战 者 随机 选择 be{0,1} 并 利 
用 对 应 的 私 钥 *%， 运 行 LSign 对 消息 4 进行 签名 ， 将 生成 
的 签名 D 返回 给 敌手 A 
4) 猜 测 阶段 : 敌手 扩 输 出 产 作 为 对 签名 者 身份 的 猜测 ， 
Ti b-b. WIRCPGANE. 
敌手 .3 在 匿名 性 游戏 中 获胜 的 的 优势 定义 为 


1 
Pr[b* =b]—= 
[ ] | 


定义 5 对 任意 多 项 式 时 间 敌 手 A, 
称 该 签名 方案 是 匿名 的 。 
2.2.3 可 链接 性 

可 链接 性 游戏 如 下 : 

1) 初 始 化 :挑战 者 罗 运 行 算法 LSetup 得 到 公共 参数 pp， 
并 且 运 行 算法 LKgen 生成 公私 钥 对 (di,xi) ,将 公 钥 加 入 环 中 
然后 将 环 R= (dody) 和 公共 参数 pp 发 送 给 敌手 A. 

2) 询 问 阶段 : 敌手 久 可 以 进行 多 项 式 次 访问 预言 机 。 

3) 伪 造 阶段 : 敌手 冯 给 出 两 签名 On Roos G2). 
Un, Rosy, (5) ， 签 名 Or (Ah), Or 00) 中 分 别 包含 相应 的 可 链接 标 
签 了 ,1 ， 若 满足 以 下 条 件 : 

6» LVerify , (4j, Ri, Or (44)) 2 Li €(12] ; 

(2) LLink(c, (44),0,, (45)) - Unlinked , Bl] 7, 1; 

OMF 久未 发 起 过 Ga. R), Ge RO 的 签名 询问 ; 

@ 环 R,R 中 任 一 用 户 的 公 钥 均 由 挑战 者 给 

ORF 抽 发 起 私 钥 询 问 的 次 数 少 于 两 次 (敌手 A E 
拥有 一 个 用 户 的 私 钥 )。 

则 敌手 双赢 得 可 链接 性 游戏 ， 政 手 也 赢得 游戏 的 优势 
定义 为 Adv z Pr[. wins] 。 

EX6 对 于 任意 多 项 式 时 间 敌 手 A, Adv 是 可 忽略 的 ， 
则 称 该 简短 可 链接 环 签名 是 可 链接 的 。 


3 ” 格 上 的 简短 可 链接 环 签名 


Camenisch 和 Stadler09 首 先 提 出 了 基于 知识 证 明 的 签名 ， 
根据 离散 对 数 x 这 一 知识 对 消息 4 进行 了 知识 证 明 签 名 ， 即 


Adv = 


Adv^-negl(, ， 则 
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o=SPK{(x): y=g*modn}(4) 。 文 献 [7] 中 ，Tsang 和 Wei 使 用 了 基 
于 知识 证 明 的 签名 , 如 根据 知识 yx, 总 对 消息 M 进行 的 知识 证 
明 签 名 ， 即 c=SPK{0y 3): ODERA fv, y) ev ^$ 76,00) , 
并 结合 累加 器 ， 提 出 了 简短 可 链接 环 签名 。 文 献 [7,8] 中 的 简 
短 可 链接 环 签 名 ， 均 是 先 使 用 累加 器 对 环 中 公 钥 进行 累加 ， 
然后 再 进行 基于 知识 证 明 的 签名 。 随 着 环 成 员 的 增多 ， 可 链 
接 环 签名 大 小 随 之 增 大 ， 而 简短 可 链接 环 签名 的 大 小 保持 不 
变 ,， 同 时 保留 不 可 伪造 性 、 匿 名 性 、 可 链接 性 等 优点 加。 但 上 
述 累 加 器 、SPK 及 其 构造 的 简短 可 链接 环 签 名 ， 均 基于 传统 
的 数学 难题 ， 且 目前 仅 有 学 者 提出 的 格 上 的 可 链接 环 签名 方 
案 0040， 还 没有 格 上 的 简短 可 链接 环 签名 方案 。 因 此 本 文 根 
据 简 短 可 链接 环 签名 5 的 构造 , 先 利 用 格 上 的 累加 器 CO 对 环 
中 公 钥 进行 累加 ， 然 后 依据 文献 [7,8,19] 的 算法 提出 格 上 的 
SPK， 最 终 构造 出 格 上 的 简短 可 链接 环 签名 LSLRS. 
LSLRS 方案 中 有 N=2 个 环 成 员 ， 参 数 n mask 在 预备 知 
识 中 已 定义 。LSLRS 包含 五 个 算法 (LSetup, LKgen, LSignyp, 
LVerifypp, LLink)， 具 体 描述 如 下 : 

1)LSetup(n): 输入 安全 参数 n, 从 Zo" 中 均匀 随机 抽样 得 到 
A, 选取 抗 碰撞 的 单 向 哈 希 函数 : Ha E : (0,1) x{0,1}* — (0,1, 
H, : Ze” x{0,1}" >Z, , H,:{0,1} x(0)5 >Z, , Hs:{0,1 x Ze" x Z? x 
(0,19 xZ, >Z, HAHA% pp - (AH, HS HH) 。 

2)LKgen(pp): 输入 PP, JM {01 中 均匀 随机 选择 
x,ie[(N-1], 4) 3I tT $3 d; -bin(A:x, modq) ，d;e{0,1}* (这 里 算 
法 binC) 的 具体 实现 见 3.1 节 ), 输 出 公私 钥 对 (sk,pk)=(xi,d;) ， 
ie[0,N-1] 。 

3)LSigno(sk, 4, R): 输 A XR R=Co dv) ， 
d, €{0,1}* i e[0,N-1], ZAH sk=xe{0,1”， 其 对 应 的 公 钥 为 

pk=d=bin(A:xmodg)eR (1) 
按 以 下 步骤 生成 消息 ue (1r 的 签名 o: 
O 计算 可 链接 标签 


I-H,(A,x) Q) 
@ 运 行 算法 TAcc4(R)， 输 出 环 R 中 所 有 环 成 员 公 钥 的 累 
加 值 
u = H, (uw,u)e{0,1y* (3) 
Gu» fr i£ TWitnessa(R, 四 得 到 证 据 
wz (Gs Js Q0) € {0,17 x (0,179! (4) 
四 计算 知识 证 明 签 名 
SPK((w,d,x): 


w= (Oi ANC 
d =bin(A -x mod q)}(x) 
将 Camenisch 和 Stadler 的 SPK 推广 至 格 上 ， 同 时 利用 
拒绝 采样 定理 ， 构 造 格 上 的 知识 证 明 签 名 : 
证 明 者 ( 即 签名 者 ): 按照 分 布 Dr 随机 选择 rs{01)”， 分 
别 进行 如 下 计算 : 


jj) ^ (5) 


W 2 HQ) (6) 
c — bin(A-r modq) (7) 
z 2 Hí,A,G-d,c,W) (8) 
k 2r—z-x(modq) (9) 
然后 将 (W,c,zj) 传送 给 验证 者 ， 根 据 拒绝 采样 定理 ， 发 
人 D? (k ET Ei 
送 成 功 的 概率 为 min| EO à), ， 如 果 发 送 失败 ， 则 重新 计 
算 后 再 发 送 ; 
验证 者 : 检验 
e Hi A Ed e -z -A -k(modq),c,W) (10) 
若 上 式 成 立 ， 验 证 者 接受 证 明 ; 否则 拒绝 。 


(W,c, z.k) 为 证 明 者 ( 即 签名 者 ) 根 据 知识 Qs dx) 对 消息 4 进行 
的 签名 ， 即 
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8 
SPK((w,d,x) ws eO eu grs MS) 11 
d —-bin(A: x modq)](u) 2 (W,c,z.k) ( ) 
名 输出 格 上 的 简短 可 链接 环 签名 
Ox) = (u, I, SPK) = (u, LW,c, z, k) (12) 


4)LVerifyp(u, R, 


R=(do,: 
一 个 d;, 


(1) 的 有 效 性 ， 若 都 验证 通过 ， 则 输出 1; 否则 输出 0。 
S)LLink( cox(4),cn() ): 给 定 两 个 签名 ona). os) ,提取 


ox) ): 输入 签名 消息 u, W 
dya), UREZ ox) T GLSPK) ; AR 中 任意 选取 
7s[0N-HU， 计 算 TAcc, (R) Ou , US UE uzu» 验证 式 


它们 的 可 链接 标签 , Æ =h , 则 输出 Linked; 否则 输出 Unlinked. 
3.1 算法 bin() 


ü 


(0.1 为 向 量 ” 的 二 进 制 表示 。 


VEZI, F V= Vota); V EZpiEn-1 ， bin(v) € 


v -G-binv) ， 十 进 制 数 w 应 转 


换 为 具有 特殊 写法 的 二 进 制 数 (与 正常 的 二 进 制 数 写 法 顺序 
相反 ， 从 最 低位 数 开始 写 起 ， 且 自 上 而 下 书写 ， 依 次 写 到 最 
高 位 数 而 止 )， 然 后 自 上 而 下 依次 书写 wr…,v 所 对 应 的 特殊 
写法 二 进 制 数 ， 最 终 得 到 向 量 bin) 。 由 于 队列 具有 先进 先 出 的 
特点 ， 这 里 可 通过 队列 实现 ”的 数 制 转换 ， 其 算法 的 具体 实现 


过 程 如 下 所 示 。 


输入 : 


输出 : 


十 进 制 向 量 v 。 
bin(v) 。 


a) void coversion(int N) 


b) {// 对 于 任 一 十 进 制 数 ， 输 出 其 对 应 的 二 进 制 数 


5) 
d) 
e) 
f) 


InitQueue(Q); 
while (log2N>=2) 
1 


// 初 始 化 空 队列 Q 


EnQueue(Q, NX2); /* 调 用 


函数 EnQueue()， 将 N 与 2 


求 余 得 到 的 二 进 制 数 加 入 队列 Q */ 


g) 
h) 
i) 
j) 
k) 


N-N/2; 
} 
while (!QueueEmpty(Q)) // 当 队列 Q 非 空 时 ， 循 环 
1 


DeQueue(Q, e); 


/* 调 用 函数 DeQueue()， 弹 出 


队列 Q 的 队 头 元 素 e */ 


1) 
m) 


n) } 


count««e; 


o) void main() 


p) {// 将 n 维 向 量 v 转换 为 其 对 应 的 二 进 制 向 量 bin(v) 


q) 
r) 
s) 
Fiii 
t) } 


int v[n]; 


for (i20; i«n; i++) 


/* 调 


coversion(int v[i]); 函数 coversion(), 将 


| 数 v[i] 转 换 为 二 进 制 数 */ 


4 ”安全 性 分 析 


4.1 正确 性 
格 上 累加 器 的 正确 性 文献 [20] 中 己 进行 了 论证 ， 这 里 主 


要 论证 知识 签名 证 明 的 正确 性 : 


H4(,A,z5:G:c-z!: A: k(modq),c,W)- 

H4, 4z - (G -bin(A -r modq) - A-k(mod q)),c,W)- 
H, (u,A, z! (A-r - A-k(modq)),c,W)- 
H,(u,A,A: z- (r -k) mdq,c,W)- 
H,(u,A,A:z™-z:xmodq,c,W) = 
H4(4,A, A: x modq,c,W) = 

H4(4,A,G:d,c,W) 2 z 


4.2 不 可 伪造 性 
定理 3 如果 SIYPw 问题 是 困难 的 ,那么 在 随机 预言 机 模 
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型 下 ， 格 上 的 简短 可 链接 环 签名 是 不 可 伪造 的 。 

证 明 : ”在 随机 预言 机 模型 下 ,假设 敌手 UL e 的 优势 
赢得 不 可 伪造 性 游戏 , 那么 一 定 存 在 模拟 器 允 或 者 攻破 格 上 
累加 器 的 安全 性 ， 或 者 以 不 可 忽略 的 优势 解决 一 个 SIS, ui 问 
题 实例 。 
为 达到 目的 ， 允 将 公共 参数 (AH, Mm, H) 发 送 给 A, E 
游戏 期 间 ， 允 诚实 地 回答 有 749 的 公 钥 询问 ， 并 将 公 钥 
Pk=bin(4-xmodg) 返回 给 扩 。 在 每 次 公 钥 询问 中 ， 允 秘密 保 
留 其 选择 的 私 钥 sk=xe{0,1y* 。 掌握 所 有 的 私 钥 ， 允 就 能 回答 
所 有 的 私 钥 询问 以 及 签名 询问 。 
游戏 结束 时 ， 了 输出 通过 验证 的 (CR,c) ， 并 且 LA 
未 询问 过 环 R' 成 员 的 私 铀 ， 同 时 也 未 对 Gun RO 进行 过 签名 
WR]. ix E Ekk) 为 一 组 二 进 制 向 量 eden) ， 
e (wl W'ec,zuk),. w-TAcQ4QU), 

设 HO 为 随机 预言 机 , 敌手 LA S AR ETI au 次 哈 希 询问 ， 


HUS HU, -能 以 4-“ 27 的 概率 输出 两 个 有 效 的 


签名 (人 co) 和 (Te H rH z a p 
根据 签名 机 制 ， 模 拟 器 Z np EH 
发 -r'-z-.x'(modq) 
ky; =r* —zy-x'(modq) 


E 


Hu 


两 式 相 减 可 计算 出 
x'-(m-z) (Kk -k;)modq 


然后 可 计算 出 
d' -bin(A- modg) 
进一步 根据 算法 TWitness, (R' 4") 可 得 到 w 。 

最 终 允 得 以 提取 知识 Qdue) , x m 
w= (Ges Wn wD ， qm Geesje 是 某 个 下 标 
广 e{0…,|R -的 二 进 制 展开 ， 同 时 满足 

| G:d' =A- x' modq 
TVerify (u*,d*,w*)=1 

此 时 ， 分 两 种 情况 讨论 : 

D)4€8 70574.) , W) EHI TVerify, Qr d' sw)=1 就 意味 
着 多 可 以 用 (4,R',w) 攻 破格 上 累加 器 的 安全 性 。 

2)4 ER cde) , HELI d' =d; - pk, ,提取 的 知识 5. x) 
满足 


(13) 


G:d, — A: x' modq (14) 
回忆 一 下 sk; 为 在 某 次 公 钥 询问 中 模拟 器 罗 选 择 的 向 量 
x, Ee{0,1”， 满 足 


G-d, - A: x, modq (15) 
由 于 敌手 22 AS BET RIP 产 的 私 钥 , 所 以 有 1/2 的 概率 
x xX。 式 (14) 和 (15) 两 式 相 减 可 得 4.(xj 7x) -0moda ,进而 可 
得 到 SIS% 问题 的 一 个 有 效 解 %=xj 7x €(7,0.0" 。 
从 以 上 两 种 情况 的 讨论 可 知 ， 若 敌手 也 伪造 签名 成 功 ， 
则 模拟 器 允 要 么 破坏 格 上 累加 器 的 安全 性 ， 要 么 解决 一 个 
SISE maa 问题 实例 。 这 显然 均 与 SIVPo 问题 困难 假设 相 矛 盾 , 定 
理 得 证 。 
43 匿名 性 
定理 4 本 方案 具备 匿名 性 。 
证 明 : ”通过 挑战 者 2 与 敌手 氏 9 间 的 匿名 性 游戏 进行 
证 明 ，Gameo 模 拟 B RIF di 对 应 的 私 钥 * 进行 签名 ，Gamei 
模拟 罗 利 用 4 对 应 的 私 钥 * 进行 签名 ， 若 敌手 扩 对 两 个 签 
名 的 概率 分 布 不 可 区 分 ， 那 么 本 方案 满足 匿名 性 。 
Gameo: 
1) Z 438 32459 n, MZ" 中 均匀 随机 抽样 得 到 A 选 
取 抗 碰撞 单 向 哈 希 函数 : Hae 7. Hi, H, Hs, 输出 这 些 
公共 参数 ;然后 从 {0,1” 中 均匀 随机 选择 x ielN-0, 5l 
计算 di=bin(4-ximodq) ，  d;e(01* ， 加 入 环 R, 保留 私 钥 
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x,ie[,N-1], 4 HIE R=(do,…,dw1) o 

2) 敌 手 AHERE uel, R= dody), 以 及 
环 中 任意 两 个 公 钥 di,d ERRESA IT. BRE b=0 EMAR d, 
对 应 的 私 钥 x 进行 签名 。 

3) B ifr SEE LSign, 4/8) ， 利 用 拒绝 采样 定理 ， 生 成 
签名 or(1)=(w7,W,c,zk)， 并 将 其 返回 给 敌手 也。 

4) 敌 手 久 收 到 签名 后 给 出 对 b 的 猜测 。 

Gamei: 

Game; 与 Gameo f] JEF 2 AR b=1 EER d; 对 应 的 
JH x. BITRA ETE LSign, G4) ， 利 用 拒绝 采样 定理 生 
JX ox (0 = (u, P W'e' ze), 将 其 返回 给 敌手 好， 敌手 及 给 出 
对 2 的 猜测 ， 其 余部 分 均 与 Gameo 相同 。 

Gameo 与 Game: 生成 的 签名 分 别 为 me(L 与 ex0 ， 因 为 
ord) 与 U) 均 是 利用 拒绝 采样 定理 得 到 的 ， 故 两 个 签名 的 
分 布 统计 距离 可 忽略 不 计 ， 所 以 两 者 是 不 可 区 分 的 ， 因 此 政 
F 了 在 匿名 性 游戏 中 获胜 的 优势 是 可 忽略 的 , 本 方案 满足 匿 
名 性 。 

4.4 可 链接 性 

定理 5 若 本 方案 是 不 可 伪造 的 , 在 随机 预言 机 模型 下 ， 
对 于 任意 多 项 式 时 间 敌 手 .和 4， 本 方案 签名 满足 可 链接 性 。 
证 明 : ”根据 可 链接 性 的 定义 , 假设 敌手 也 能 以 不 可 忽 
略 的 优势 e 赢得 定义 6 中 的 游戏 ， 则 敌手 也 将 与 挑战 者 Z 
进行 如 下 交互 : 

1) 罗 输 入 安全 参数 n， 从 Zo" 中 均匀 随机 抽样 得 到 A, 选 
取 抗 碰撞 单 向 哈 希 函数 : Hse-H ， 输 出 这 些 公共 参数 ; 然后 
从 {01" 中 均匀 随机 选择 x,ie[l0,N-] ， 分 别 计 算 
d; - bin(A- x, modq) , d; €(0,1)* ,加 入 环 R, 保留 私 钥 x;ie[0, N 1], 
输出 环 R=(do dya) o 

DAF A WT UHITE BONUS Ui A N, 包括 哈 希 询 
问 、 私 钥 询 问 及 签名 询问 ， 允 将 询问 结果 返回 给 Ti。 

Qu: .9 可 以 选择 deR 进行 询问 ， 罗 将 其 对 应 
的 私 钥 * 返回 给 A o 

Qo ds W n s 

a) Hil 询问: An ARHAR SH x TA, o5 DOR 
给 4; 


n 


方案 ， 本 方案 LSLRS 将 与 这 两 个 方案 在 时 间 开 销 和 存储 开 


销 方 面 分 别 进行 对 比分 析 。 


合作 期 刊 


第 39 卷 第 9 期 


三 种 方案 的 时 间 开 销 对 比如 表 1 所 示 ， 统 


使 上 


1N 代表 


环 成 员 个 数 , 统一 使 用 五 代表 方案 中 的 各 种 哈 希 运算 的 单 步 


Tbin、 TrAce、 TTWitness 分 别 表 示 陷 门生 成 算法 P3]、 


法 P3]、 高 斯 抽样 算法 P]、 剩 余 哈 希 引 理 00、 和 拖 阵 向 量 乘法 、 


平均 耗 时 (除了 本 方案 的 Ha ), 使 用 Tro、 Tsp, Tsp, Teuk, Tmur, 


原 像 抽 样 算 


bin() 算法 、TAcc40 算 法 、TWitness40 算 法 的 单 步 平均 耗 时 ， 


这 些 运算 耗 时 相对 较 多 ， 主 要 以 这 些 运算 衡量 方案 的 时 间 开 
销 ， SORS OR E FERAT E 的 运算 。 从 系统 创建 (Setup)、 
用 户 密 钥 生成 (Key generate) 、 签 名 生成 (Sigm、 签 名 验证 
(Verify) 所 消耗 的 时 间 进 行 分 析 ， 其 中 log 的 底数 为 2。 

在 系统 创建 阶段 ， 汤 永利 等 的 方案 09 是 基于 身份 的 可 链 


接 环 签名 ， 需 要 运用 陷 门 生成 算法 生成 系统 主 密 钥 ， 故 其 该 


阶段 的 时 间 开 销 主 要 为 Tra, L2RS0D 及 本 方案 非 基于 身份 的 
签名 ， 没 有 这 部 分 的 时 间 开 销 。 在 用 户 密 钥 生成 阶段 ， 因 需 


和 N 次 bin() 算法， T; -O(maxlogv), Tug = 


要 生成 V 对 公私 钥 ， 本 文 LSLRS 需 执 行 N 次 矩阵 向 量 乘 法 


Omm) ， 显 然 


Tu, «Tua; 汤 永 利 方案 09 需 要 N. 次 的 哈 希 运算 和 N 次 的 原 像 
由 样 算法 ，L2RS00 需 要 N 次 的 矩阵 向 量 乘 法 和 N 次 的 剩余 
哈 希 引 理 算法 。 在 签名 生成 阶段 ， 本 方案 LSLRS 需要 执行 3 
次 哈 希 运算 、 一 次 TAcc40 算 法 、 一 次 TWitness4(0) 算 法 、 一 次 


高 斯 抽样 算法 、 一 次 矩阵 向 量 乘法 、 及 一 次 bi() 算 法 ， 其 中 


H, 的 时 间 复杂 度 JJ Ta, = Imu t Ty, = O(nm) * O(maxlog v;) = O(nm) ， 
Tras, = QN -DT,, 2 (N - D): O(nm) 2 QN - DTua, , Trwimess =O) 2O(log? N) , 
显然 Tees «Tus. ， 该 阶段 本 方案 的 时 间 开 销 为 
3Ty +N Tug, +Trwimess + Toin +Tsp ; 汤 永 利 方案 00 需 要 执行 N+1 次 


的 哈 希 运算 、2N+1 次 的 矩阵 向 量 乘法 、 及 NN 


次 高 斯 抽样 算 
法 ，L2RS 需要 执行 N 次 哈 希 运算 、3N+2 次 矩阵 向 量 乘法 、 
及 N 次 高 斯 抽样 算法 ， 显 然 ， 在 该 阶段 本 方案 


LSLRS 效率 


最 优 .在 签名 验证 阶段 , 本 方案 LSLRS 需要 执行 一 次 TAcca() 
算法 、 一 次 哈 希 运算 、 及 两 次 矩阵 乘法 运算 ， 该 阶段 的 总 时 
EIFE Ta +N - DTuu. ; L2RS 需要 执行 Y 次 哈 希 运 算 和 4N+1 


次 的 矩阵 向 量 乘法 ， 汤 永利 等 方案 09 需 要 执行 


2N 次 哈 希 运 


算 和 2N 次 的 抢 阵 向 量 乘法 ， 在 该 阶段 本 方案 09 效 率 最 优 。 


nu 


这 里 


b) A, 询问 : AR RFE d 的 w 进 行 询问 ， 允 将 W 返 
28.4; 

c) Hifl]: 了 可 以 选择 uet, den 进行 询问 ， 罗 
将 z 返 回 给 A. 

@@ 签 名 询问 : AW R-(Gdyosdu, neto, Eden 
进行 询问 ， 允 执行 算法 LSignpp(shk, z, R), Hl d 对 应 的 私 钥 x* 
进行 签名 ， 生 成 mm(O 并 返回 给 A. 

3) S F A 8 d P E A ons Wenak) 及 
Op, (15) = Q5, DW,c,, 2, Kk.) 。 
段 设 敌 手 A BE XE DUSER — S 888 B T D RELAIS RT UIS 
的 优势 e 生成 两 个 环 签 名 mce(e) ， 并 
LVerifyw( R Or Q4) 2i et21 ， 因 为 本 文 提 出 的 简短 可 链接 环 
签名 具有 不 可 伪造 性 , MARA ARF 孔 诚 实地 按 签 名 机 制 
ÆR Or Ga) os Qo) 时， 这 两 个 签名 才能 通过 验证 返回 1。 

a-m, AX LeH(Áx), L-H(Ax), ， 因 为 敌手 
手 也 仅 拥有 一 个 私 钥 , EE x xs, 在 询问 随机 预言 机 HG 
时 ， 相 同 的 询问 会 有 相同 的 回应 ， 此 时 有 三 =2 ， 则 
LLink(on (4),6,, (15)) - Linked 。 这 与 假设 相 了 矛盾 ， 所 以 敌手 A I] 
优势 是 可 忽略 的 。 定 理 得 证 。 


5 ”性 能 分 析 与 实验 评估 


5.1 性 能 分 析 
汤 永 利 等 的 方案 59 及 L2RS 11 均 为 格 上 的 可 链接 环 签名 


ul 


ums 


] T(L2RS) zr L2RS 的 时 间 复 杂 度 ， 用 TTANG) 表 示 


汤 永 利 等 方案 59 的 时 间 复 杂 度 ， 用 T(LSLRS) 表 示 本 方案 的 


时 间 复 杂 度 ， 则 


T(L2RS) = NT + N Tug + NT + 


(3V+2)Tuu +N Ty, +N Ta + (4N +1)Tuu = 


(8N -3) Tus, +N Too +2N -Ta +N -T 


T(TANG) 2 Ty; +N Ta +N Ts, +(N +1)Ta + 


(2N V) Tuus +N Tio +2N -Ta + 2N Tug = 


(4N +1)Tuu +N Ty; + (4N 8 DT, +N -Top T; 


T(LSLRS) = NT + NT +37 + Trace + 
Trwimess + Tsp + Tmur + Thin Trace + Tu + 2TmuL = 


(CV+3)Twur + 2T race + Tsp +47 + CN + TY, + Trwimess = 
N +3)Tuur + 2N — D Tu, + Tsp +47 + (N + DT + Trwimess = 


(3N  DTuu. +(N+DT + Trwimess + Tsp + 4Ta 
显然 TILSLRS) 最 小 ， 本 方案 的 效率 最 高 。 
表 1 时 间 开 销 对 比 


Tab. 1 Comparison of time cost 


方案 ”系统 创建 ” 密 钥 生成 签名 验证 
NTwur+ N: Tu 
L2RS!'! / NTa+ (3N+2)TmuL +N: Tsp 
NTLar (4N+1)TmuL 


文献 [10] TrG NTa+ NTse (NE 1) Tu (2M+1)TMur+N'TSsp 


N:Thint 3TH+TIAcet Trwimesst TsD + 
LSLRS / 
N:Tuur TmuLt Thin 


2N-Tu +2N:TmuL 


Tracc+ Tu+2 TmuL 


录用 定稿 EAS, 


三 种 方案 的 存储 开销 对 比如 表 2 所 示 ， 仍 然 统一 使 用 IN 
表示 环 成 员 个 数 ， 主 要 从 单个 用 户 的 公 钥 长 度 、 私 钥 长 度 、 
及 签名 长 度 分 别 进行 对 比 。log 的 底数 为 2，logdg>1l 。 在 单个 
户 公 钥 长 度 方面 ， 本 方案 LSLRS 的 公 钥 die{0,1* ， 为 nk 
即 nflogq|) 维 的 列 向 量 ， 每 个 向 量 元 素 为 0 或 1， 故 单个 公 
Hi5 nflogq| 位 ; 汤 永 利 等 的 方案 09 公 钥 属 于 用 ,为 对 维 列 向 
量 , 故 长 度 为 Wogqg;L2RS0U 的 公 钥 属于 卷 积 多 项 式 环 IE, 
m idi du ME r ul 


d 


Oe ". $i L2RS 有 ism. 在 单个 "mo 
长 度 方面 ， 本 方案 LSLRS WAH x et0.1" ， 为 严 维 的 列 向 
量 ， 每 个 向 量 元 素 为 0 或 1， 故 单个 公 钥 占 m 位 ; 汤 永 利 等 
的 方案 09 私 钥 属 于 用 ， 为 m 维 列 向 量 ， 故 长 度 为 mlogq: 
L2RS00 的 私 钥 属 于 卷 积 多 项 式 环 Ar, 通常 将 其 表示 为 矩阵 
区 式 ( 即 系数 和 矩阵 )，( 其 系数 矩阵 ) 属 于 2 ， 故 私 钥 长 度 为 
nm+nmlogq ; 因此 ， 本 方案 的 私 钥 长 度 较 L2RS 和 文献 [10] 有 
明显 的 减 小 。 在 单个 签名 长 度 方面 , 本 方案 LSLRS 生成 的 签 
名 (u,I,W,c,z,k) e{0,1} x Z, x Z, x(0,1* x ZX Zn ， 文献 [10] 生 成 的 签 
名 (Chrty l, b)EZ, xZ xZ, xZ , L2RSUM 的 签名 
(ei, H) 6 Rx(Z%)xR"”， 对 比 表明 本 方案 的 签名 长 度 较 
L2RS 和 文献 [10] 有 明显 的 减 小 , 而 且 随 着 环 成 员 数 量 V 的 增 
大 ，L2RS 和 文献 [10] 的 签名 长 度 会 随 之 增 大 ， 而 本 方案 的 签 
名 长 度 固定 不 变 。 综 上 可 知 , 本 方案 LSLRS 的 整体 存储 开销 
明显 小 于 L2RS 和 文献 [10] 的 。 


表 2 存储 开销 对 比 
Tab.2 Comparison of storage overhead 
方案 公 钥 长 度 私 钥 长 度 签名 长 度 
L2RS!! nm+tnmlogg nm+nmlogq (n-mN-*nm)(1-ogq) 
文献 [10] nlogq mlogq [(m-1)N*n*2]logq 
LSLRS n[logq] m m*(m-*3)logq 
5.2 实验 评估 
本 文 的 实验 在 配置 为 Win10 系统 、 英 特 尔 酷 害 i7- 


10750H@2.60GHz 处 理 器 、512GB 固态 硬盘 、8GB 内 存 的 计 
算 机 上 运行 ， 将 参数 设置 为 n=8，m=512，4=2? 。 

表 3 为 三 个 方案 (L2RSU1、 文 献 [10]、 本 方案 LSLRS) 的 
时 间 开 销 统计 ， 环 成 员 个 数 为 16; 图 1 为 依据 表 3 中 的 数据 
画 出 的 时 间 开 销 对 比 图 。 从 表 3 和 图 1 中 可 以 看 出 ， 本 方案 
LSLRS 在 系统 创建 、 签 名 、 验 证 阶段 的 时 间 开 销 最 小 ， 方 案 
的 总 时 间 开 销 也 是 最 小 的 ， 效 率 最 高 ， 具 体 原因 已 在 上 节 进 
行 了 分 析 ， 此 处 不 再 装 述 。 

表 3 时 间 开 销 统计 (单位 : ms, N-16) 


Tab.3 Statistics of time cost 
方案 系统 创建 HER 签名 验证 ”总 时 间 
L2RS!!! 0.012 12.096 29.364 30.426 71.898 
文献 [10] 0.348 5.952 21.364 14.976 | 42.64 
LSLRS 0.009 7.176 12.144 6.988 26.317 
T = Jak 10] 
EN LSLRS 
a] 
504 
1, 
z 
E 301 
20 4 
10 
系统 创建 BUER 签名 验证 总 时 间 


图 1 时 间 开销 对 比 (N=16) 


Comparison of time cost (N=16) 


Fig. 1 
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表 4 为 三 个 方案 (L2RSUU、 文 献 [10]、 本 方案 LSLRS) 的 
存储 开销 统计 ， 图 2 为 依据 表 4 中 的 单个 公私 钥 长 度数 据 画 
出 的 密 钥 长 度 对 比 图 ， 图 3 为 依据 表 4 中 的 签名 长 度数 据 画 
出 的 签名 长 度 对 比 图 。 从 表 4 和 图 2 可 以 看 出 ,本 方案 LSLRS 
的 单个 公 钥 长 度 较 小 ， 单 个 私 钥 长 度 最 小 ; 从 表 4 和 图 3 可 
以 看 出 , 本 方案 LSLRS 的 签名 长 度 最 小 , 随 着 环 成 员 个 数 的 
增 大 ，L2RSID0 与 文献 [10] 的 签名 长 度 均 在 增 大 ， 而 本 方案 的 
签名 长 度 保持 不 变 ， 有 具体 原因 见 上 节 的 分 析 。 

表 4 存储 开销 统计 (单位 : KB) 
Tab.4 Statistics of storage overhead 
签名 长 度 
N-4 N-16 N-64 N-256 


公 钥 长 度 单个 私 钥 长 度 


方案 单个 


L2RS!!! 16.5 16.5 24.782 49.532 148.532 544.532 
文献 [10] 0.031 2 8.055 32.102 128.289 516.039 
LSLRS 0.031 0.063 2.074 2.074 2.074 2.074 
10! 
108 
g 10 
1072 
103 mE LRS 
mm 文献 [10] 
EE LSLRS 
1074 
单个 公 钥 单个 私 钥 


到 2 密 钥 长 度 对 比 


Fig.2 Comparison of key size 


=- L2RS 
—e9- 文献 [10] 
一 LSLRS 


环 成 员 数 (个) 


图 3 签名 长 度 对 比 


Fig.3 Comparison of signature size 
6 ”结束 语 


可 链接 环 签名 能 有 效 解决 区 块 链 电子 货币 系统 的 双 花 攻 
击 与 区 块 链 电 子 选举 系统 的 重复 投票 问题 ， 但 已 有 基于 格 的 
可 链接 环 签名 长 度 随 环 成 员 的 增多 而 "T 本 文 提出 了 基于 
格 的 简短 可 链接 环 签名 。 随 着 环 成 员 的 增多 , 本 文 LSLRS 的 
签名 长 度 保持 不 变 ， 同 时 节省 了 时 间 和 存储 开销 ， 因 此 本 文 
方案 具有 更 强 的 实用 性 。 基 于 SIVP 问题 证 明了 签名 的 不 可 伪 
造 性 ， 另 外 又 证 明了 签名 的 匿名 性 和 可 链接 性 。 下 一 步 工 作 致 
力 于 提出 具体 的 基于 格 的 区 块 链 安全 应 用 方案 ， 并 进一步 提高 

案 的 效率 ， 确 保 区 块 链 技术 能 更 好 地 为 社会 大 众 服务 。 


参考 文献 : 


[1] Yang Di, Long Chengnian, Xu Han, et al. A review on scalability of 


blockchain [C]// Proc of the 2nd International Conference on Blockchain 
Technology. New York: ACM Press, 2020: 1-6. 


录用 定稿 


[2] NS, XR, KE, 等 . 区 块 链 原理 及 其 核心 技术 D] 计算 机 学 
报 , 2021, 44 (01): 84-131. (Cai Xiaoqing, Deng Yao, Zhang Liang, et al. 
The principle and core technology of blockchain [J]. Chinese Journal of 
Computers, 2021, 44 (01): 84-131.) 

D] Rivest R L, Shamir A, Tauman Y. How to leak a secret [C]// Proc of the 
7th International Conference on the Theory and Application of 
Cryptology and Information Security: Advances in Cryptology. Berlin: 
Springer, 2001: 552-565. 

[4] 范 青 , MAJA, Y 46, 3. 基于 SM2 数字 签名 算法 的 环 签 名 方案 [I]. 
密码 学 报 , 2021, 8 (4): 710-723. (Fan Qing, He Debiao, Luo Min, et al. 
Ring signature schemes based on SM2 digital signature algorithm [J]. 
Journal of Cryptologic Research, 2021, 8 (4): 710 - 723.) 

[5] Liu J K, Wei V K, Wong D S. Linkable spontaneous anonymous group 
signature for ad hoc groups [C]// Proc of the 9th Australasian Conference 
on Information Security and Privacy. Berlin: Springer, 2004: 325-335. 

[6] Lyu Jiazhuo, Jiang Z L, Wang Xuan, eft al. A secure decentralized 
trustless e-voting system based on smart contract [C]// Proc of the 18th 
IEEE International Conference on Trust, Security and Privacy in 
Computing and Communications. Los Alamitos: IEEE Computer Soc. 
Press, 2019: 570-577. 

[7] Tsang P P, Wei V K. Short linkable ring signatures for e-voting, e-cash 
and attestation [C]// Proc of the 1st Information Security Practice and 
Experience Conference. Berlin: Springer, 2005: 48-60. 

[8] Au M H, Chow S S M, Susilo W, et al. Short linkable ring signatures 
revisited [C]// Proc of the 3rd European Public Key Infrastructure 
Workshop. Berlin: Springer, 2006: 101-115. 

[9] Yu Bin, Liu J K, Sakzad A, et al. Platform-independent secure 
blockchain-based voting system [C]// Proc of the 21st International 
Information Security Conference. Berlin: Springer, 2018: 369-386. 

[10] 汤 永 利 ， 夏 菲菲 ， 叶 青 ， 等 . 格 上 基于 身份 的 可 链接 环 签 名 [UU WS 
码 学 报 , 2021, 8 (2): 232-247. (Tang Yongli, Xia Feifei, Ye Qing, et al. 
Identity-based linkable ring signature on lattice [J]. Journal of 
Cryptologic Research, 2021, 8 (2): 232-247.) 

[11] Torres W A, Kuchta V, Steinfeld R, et al. Post-quantum one-time linkable 
ring signature and application to ring confidential transactions in 
blockchain (lattice RingCT v1. 0) [C]// Proc of the 23rd Australasian 
Conference on Information Security and Privacy. Berlin: Springer, 2018: 
558-576. 

[12] Torres W A, Kuchta V, Steinfeld R, et al. Lattice RingCT v2. 0 with 
multiple input and multiple output wallets [C]// Proc of the 24th 
Australasian Conference on Information Security and Privacy. Berlin: 


Springer, 2019: 156-175. 


王 杰 昌 ， 等 : 格 上 的 简短 可 链接 环 签名 


第 39 卷 第 9 期 


[13] Baum C, Huang Lin, Oechsner S. Towards practical lattice-based one- 
time linkable ring signature [C]// Information and Communications 
Security. Proc ofthe 20th International Conference. [S. I. ] : LNCS, 2018: 
303-322. 

[14] Liu Zhen, Nguyen K, Yang Guomin, et al. A lattice-based linkable ring 
signature supporting stealth addresses [C]// Proc of the 24th European 
Symposium on Research in Computer Security. [S. I. ] : LNCS, 2019: 
726-746. 

[15] Saberhagen N V. CroptoNote v2. 0 [EB/OL]. (2013-10-17) [2022-02-08]. 
https://static. coinpaprika. com/storage/cdn/whitepapers/1611. pdf. 

[16] 叶 青 , EXI, FAR, F. 利用 环 上 容错 学 习 问 题 构造 可 链接 环 答 
名 方案 [J]. 计算 机 科学 与 探索 , 2020, 14 (7): 1164-1172. (Ye Qing, 
Wang Wenbo, Li Yingying, etal. Using ring learning with errors problem 
to construct linkable ring signature scheme [J]. Journal of Frontiers of 
Computer Science and Technology, 2020, 14 (7): 1164-1172.) 

[17] E X, KA, EÈ F. 电子 投票 协议 下 的 基于 格 的 可 链接 门限 环 
签名 U]. 密码 学 报 , 2021, 8 (3): 402 - 416. (Zhuang Lishuang, Chen 
Jie, Wang Qiyu. Lattice-based linkable threshold ring signature in e- 
voting [J]. Journal of Cryptologic Research, 2021, 8 (3): 402 - 416.) 

[18] FHR, 李冬梅 ， 吴 伟 民 . 数据 结构 : C 语言 版 [M]. 2 版 . 北京 : 人 
民 邮 电 出 版 社 , 2015: 55. (Yan Weimin, Li Dongmei, Wu Weimin. Data 
Structure [M]. 2nd ed. Beijing: Posts & Telecom Press, 2015: 55.) 

[19] Camenisch J, Stadler M. Efficient group signature schemes for large 
groups (extended abstract) [C]// Proc of the 17th Annual International 
Cryptology Conference. Berlin: Springer, 1997: 410-424. 

[20] Libert B, Ling S, Nguyen K, et al. Zero-knowledge arguments for lattice- 
based accumulators: logarithmic-size ring signatures and group 
signatures without trapdoors [C]// Proc of the 35th Annual International 
Conference on the Theory and Applications of Cryptographic Techniques. 
Berlin: Springer, 2016, 9666: 1-31. 

[21] Lyubashevsky V. Lattice signatures without trapdoors [C]// Proc of the 
31st Annual IACR Eurocrypt International Conference on the Theory and 
Applications of Cryptographic Techniques. Berlin: Springer, 2012: 738— 
755. 

[22] 杨波 . 现代 密码 学 [M].4 版 . 北京 : 清华 大 学 出 版 社 , 2017: 273-274. 
(Yang Bo. Modern cryptography [M]. 4th ed. Beijing: Tsinghua 
University Press, 2017: 273-274.) 

[23] Gentry C, Peikert C, Vaikuntanathan V. Trapdoors for hard lattices and 
new cryptographic constructions [C]// Proc of the 14th Annual ACM 
International Symposium on Theory of Computing. New York: ACM 
Press, 2008: 197—206. 


